ドメインのメッセージでDKIMが失敗するのは、DKIMプロトコルの識別子のアライメントに失敗しているか、レコードのセットアップに問題がある可能性があります。今日は、DKIM仕様がどのようにドメインを認証するのか、なぜDKIMがメッセージで失敗するのか、そしてステップバイステップのガイドでDKIMを簡単に修正する方法をご紹介します。
DKIMの失敗は何を意味するのか?
送信メールにDKIMを有効にしている場合、受信サーバーはDKIMの秘密鍵とDNSで公開されている公開鍵を照合してメールの真偽を確認します。一致した場合、DKIMはメッセージに対してパスし、そうでない場合はDKIMは失敗します。
DKIMの失敗とは、DKIM署名ヘッダーとFromヘッダーで指定されたドメインの不一致、およびキーペアの値の不一致が原因で、DKIM認証チェックのステータスが失敗することを指します。
DKIMが失敗する一般的な理由
1.DKIMレコードの構文に誤りがある
信頼できる DKIMレコード生成ツールツールを使って手動で設定しようとすると、正しく実装できないことがあります。DNSレコードに構文エラーがあると、認証に失敗する可能性があります。
2.DKIM アライメント不良のチェック
もし DMARCを設定している場合、DKIMチェック中に d=フィールドのドメイン値がFromアドレスのドメインと一致する必要があります。これは、2つのドメインが完全に一致する必要がある厳密なアライメント、または組織的な一致がチェックを通過することを許可する緩和されたアライメントのいずれかになります。
DKIMの失敗は、DKIM署名ヘッダーのドメインがFromヘッダーのドメインと一致しない場合に発生する。
3.サードパーティのメールベンダーにDKIMを設定していない
もし、あなたの組織でメール送信を代行するために、複数のサードパーティーメールベンダーを使用している場合は、送信メールのDKIMを有効にする方法について、彼らと連絡を取る必要があります。このサードパーティサービスに登録された独自のカスタムドメインやサブドメインを使用してお客様にメールを送信する場合は、必ず次のことを行ってください。 DKIMを代行するようベンダーに依頼する.
理想的には、サードパーティベンダーがメールのアウトソースを支援している場合、彼らはDKIMレコードを公開することによってあなたのドメインを設定することです。 そのDNS上のDKIMセレクタを使用することで、あなたが介入する必要がありません。
または
DKIMキーペアを生成し、秘密鍵をメールベンダーに渡し、公開鍵を公開することができます。 自分のDNSで.
そのため、DKIMの設定に関して、サービスプロバイダーと率直にコミュニケーションを取る必要があります。
備考: サードパーティのエクスチェンジサーバーの中には、メッセージ本文にフォーマットされたフッターを挿入するものがあります。これらのサーバーが電子メール転送プロセスの中間サーバーである場合、結合されたフッターはDKIMの失敗の一因となる可能性があります。
4.サーバー通信の問題
状況によっては、DKIMが無効になっているサーバーからメールが送信されることがあります。そのような場合、DKIMはその電子メールに対して失敗します。通信相手がDKIMを適切に有効化していることを確認することが重要です。
5.メール転送エージェント(MTA)によるメッセージ本文の修正
SPFとは異なり、DKIMはメッセージの真正性を検証する際に、送信者のIPアドレスやリターンパスを検証しません。その代わり、メッセージの内容が転送中に改ざんされていないことを保証します。時々、参加するMTAやメール転送エージェントは、行のラップやコンテンツのフォーマット中にメッセージのボディを変更することがあり、DKIMの失敗につながることがあります。
メールの内容をフォーマットするのは、通常、受信者それぞれが理解しやすいように自動化されたプロセスです。
6.DNSの停止/DNSのダウンタイム
これはDKIM失敗の一般的な理由である。DNSの停止は、サービス拒否攻撃を含むさまざまな理由で発生する可能性があります。ネームサーバーの定期的なメンテナンスも、DNS停止時間の背景にある可能性があります。この(通常は短い)期間中、受信者サーバーはDNSクエリを実行できません。
DKIMはTXT/CNAMEレコードとしてDNSに存在することが分かっているので、クライアント・サーバーは認証時に送信者のDNSに公開鍵を問い合わせるルックアップを実行します。停電時には、これは不可能と判断されるため、DKIMを破壊する可能性があります。
7.OpenDKIMを使用する
OpenDKIMとして知られるオープンソースのDKIM実装は、Gmail、Outlook、Yahooなどのメールボックスプロバイダーで一般的に使用されています。OpenDKIMは、検証時にポート8891を通してサーバーと接続します。時々、間違ったパーミッションを有効にしたために、サーバーがあなたのソケットにバインドできないためにエラーが発生することがあります。
ディレクトリをチェックして、パーミッションを正しく有効にしているか、あるいは、ソケット用のディレクトリが設定されているかどうかを確認します。
異なるDKIM認証失敗の結果
1.認証結果:dkim=neutral (不正なフォーマット)
DKIMレコードの自動生成された改行は、エラーメッセージ: dkim=neutral (bad format)を表示することがあります。メール検証ツールが検証中に改行されたリソースレコードをリンクすると、間違った値が生成されます。可能な解決策は、DNSの255文字の制限内に収まるように、1024ビットのDKIMキー(2048ビットとは対照的)を使用することです。
2.認証結果:dkim=fail (不正な署名)
DKIM認証に失敗した結果は、第三者によってメッセージ本文内のコンテンツが変更されたために、DKIM署名ヘッダーがメール本文と一致しなかった可能性があります。
3.認証結果:dkim=fail (DKIM署名のボディハッシュが検証されていない)
DKIM-signature body hash not verified" または "DKIM signature body hash did not verify" は、同じエラーに対して受信サーバーから返される、DKIMボディハッシュ値 (bh=タグ) が転送中に何らかの形で変更されたことを意味します。DKIMのキーペアが正しく設定され、有効な公開鍵がDNSで公開されていても、スペースや特殊文字の挿入など、ハッシュ値のちょっとした修正でボディハッシュの検証がDKIMに失敗することがあります。
以下の理由により、bh=タグの値が変更される場合があります。
- メールの内容を変更する役割を担う中間サーバ
- メールサービスプロバイダーによるメールフッターの追加
4.認証結果:dkim=fail (署名用鍵がない)
このエラーは、DNSの公開鍵が無効であるか、または見つからないことが原因である可能性があります。DKIMの公開鍵と秘密鍵の両方が一致し、正しく設定されていることを確認することが重要です。あなたのDKIM DNSレコードが公開され、有効であることを確認しましたか?当社の無料DKIMレコードチェッカーを使用して、今すぐ確認してください。
PowerDMARCでDKIMの失敗を避ける!
メッセージのDKIM失敗を止める方法
上記の問題点をすべて回避することはできないので、単純に対処することはできません。しかし、DKIMの失敗の可能性を最小限にするために、あなたが導入できるいくつかの有用なヒントを集めました。
DKIMの失敗を修正するには?
- 正確な結果を得るために、信頼できる著名なジェネレーターツールを使用してDKIMレコードを生成し、エラーを避けるために常に値をコピーペーストしてください。
- DKIMレコードにギャップやエラーがないか確認する
- SPFとDMARCを導入して、ドメインのなりすましやなりすましに対するセキュリティを強化しましょう。DMARCは、メッセージの検証をパスするためにSPFかDKIMのどちらかをパスする必要があります。したがって、DKIMが失敗してSPFがパスした場合でも、メッセージはDMARCをパスして配信されます。
- ドメインのDMARCレポートを有効にする
- DKIM失敗レポートと認証結果を専用の DMARCリーダーダッシュボード
- DKIMの設定、プロトコルのサポート有無、対応方法について、メールベンダーと詳細な打ち合わせを行う。
- DMARCアナライザーの無料トライアルに申し込むと、DMARCスペシャリストチームからメール認証設定に関する専門家のアドバイスを受けることができます。
よくあるDKIMの失敗のプロンプトと、そのプロンプトを取り上げたことに注意してください。 可能性を提供しながら可能なの解決策となります。 しかし、あなたのドメインやサーバーに特有の、この記事でカバーされていない様々な根本的な理由によって、エラーが表示されるかもしれません。
認証プロトコルを導入したり、ポリシーを実施したりする前に、十分な知識を蓄えておく必要があります。DKIMに失敗したり、SPFやDMARCの認証に失敗したりすると、メール配信に影響を与える可能性があります。
電子メールの自動転送とDKIMとSPFの比較
自動転送メールでは、1つ以上の中間サーバーが関与しているため、メールヘッダが変更されます。転送されたメッセージは、この第三者の仲介サーバーのヘッダー情報を取り込みますが、これは元の送信者のSPFレコードに正規の送信元として含まれている場合もあれば、そうでない場合もあります。
これが含まれていない場合、そのメッセージのSPFは失敗します。
DKIM署名はメール本文に含まれるため、転送はDKIMに影響しません。このため、既存のSPFポリシーの上にDKIMを設定することで、転送されたメッセージの不要な認証DKIMの失敗を回避することができます。
DKIMを使用しない場合の不具合修正
SPFと一緒にDKIMを設定することは 推奨しかし、これは必須ではありません。
- ドメインにDKIMを設定したくないが、転送メールのSPF失敗を解決したい場合は、メールのリダイレクトと呼ばれる方法を使用できます。メールのリダイレクトは、メッセージの元のヘッダーを保持します。
- また、転送プロセスに参加するすべての中間サーバーのIPアドレスをドメインのSPFレコードに含めるようにすることもできます。
DKIMとは何ですか?なぜ設定する必要があるのですか?
DKIMは電子メールの認証システムで、送信元の正当性を確認し、電子メールの内容がずっと変更されていないことを確認するのに役立ちます。 配信プロセス
電子メールにDKIMの設定が必要な理由を語るなら、電子メールがいかに詐欺行為の媒介になり得るかを語る必要がある。フィッシングからドメインスプーフィングに至るまで、またマルウェア感染に至るまで、なりすまし攻撃は偽メールを通じて行われる可能性がある。そのため、企業はメール送信者を認証するフィルタリングシステムを構築する必要がある。そうすることで、自社の評判を守るだけでなく、何百万人ものユーザーがメール詐欺の餌食になるのを防ぐことができる。 DKIMの失敗とは、後述するように、秘密鍵と公開鍵が一致しないことである。
DKIMはその一つで、ハッシュ値(秘密鍵)を使ってメール情報を署名し、送信者のDNSに登録されている公開鍵と照合する仕組みです。 DKIM署名が付与された電子メールは、悪意のある第三者による改ざんから高い保護性能を発揮します。
DKIMの失敗に関するFAQ
1.どのような送信者がDKIMに失敗しているか?
失敗は、次のような送信者に典型的である:
- プロトコルの設定が適切でない
- サポートされていないメールプロバイダに2048ビットキーを使用する
- 電子メールの転送中に、第三者によって電子メールの内容が改ざんされた場合。
2.DKIMが通らないのにDMARCは通るのか?
はい、SPFが通っていれば大丈夫です。DMARCを設定し、SPFとDKIMの両方のメカニズムに対して電子メールをアライメントした場合、DMARCに合格するためには、どちらか一方のチェック(SPFまたはDKIM)に合格する必要があります。しかし、DMARCのアライメントがDKIM認証にのみ依存している場合、DMARCは失敗し、DKIMも失敗します。
- メール・フィッシングとDMARCの統計- 2024年11月22日
- DMARCコンプライアンスと要件- 2024年11月21日
- DMARCポリシーとは?なし、隔離、拒否- 2024年9月15日